Seadot cybersecurity
EN
Trust Services Criteria

Trust Services Criteria

En tydlig genomgång av Trust Services Criteria

En av de viktigaste delarna i en SOC 2-rapport är hur organisationen arbetar med sina interna kontroller. Dessa kontroller bedöms mot Trust Services Criteria, ett ramverk som definierar vad som krävs för att säkerställa säkerhet, driftsäkerhet och ansvarsfull hantering av data.

 

Vad är Trust Services Criteria?

Trust Services Criteria (TSC) är en uppsättning principer och krav som används för att bedöma en tjänsteorganisations interna kontroller kopplade till säkerhet och informationshantering.

Ramverket består av fem områden:

  1. Security (obligatoriskt för alla SOC 2-rapporter)
  2. Availability
  3. Processing Integrity
  4. Confidentiality
  5. Privacy

Varje område innehåller både övergripande kriterier och mer detaljerade fokusområden som beskriver hur en organisation kan visa att kraven uppfylls.

 

Security – det gemensamma och obligatoriska kriteriet

Security är grunden för SOC 2-ramverket och innehåller krav på:

  • skydd mot obehörig åtkomst
  • robusta autentiserings- och behörighetsrutiner
  • övervakning, loggning och incidenthantering
  • säker konfiguration och förändringshantering
  • riskbedömning och kontrollmiljö

Det här kriteriet inkluderar även centrala delar av det interna kontrollramverket, såsom styrning, ansvarsfördelning, kommunikation och uppföljning.

Exempel på vanliga Security-kontroller:

  • multifaktorautentisering (MFA)
  • regelbundna åtkomstgranskningar
  • loggning av systemhändelser
  • incidenthanteringsprocesser
  • patchhantering och säker konfiguration av miljöer

Detta är det enda kriteriet som måste ingå i en SOC 2-rapport.

 

Availability – driftsäkerhet och systemtillgänglighet

Availability handlar om att tjänster ska vara tillgängliga enligt överenskomna nivåer. Det omfattar:

  • övervakning av systemhälsa
  • kapacitetsplanering
  • redundans och återställning
  • hantering av driftstörningar
  • kontinuitetsplaner

Kontrollerna ska visa att organisationen aktivt arbetar för att undvika avbrott och minimera påverkan vid incidenter.

Exempel på Availability-kontroller:

  • dokumenterad Disaster Recovery-plan
  • regelbundna DR-övningar
  • SLA-övervakning
  • automatisk skalning eller kapacitetsplanering i molnmiljöer

 

Processing Integrity – korrekt och pålitlig databehandling

Detta kriterium fokuserar på att data ska behandlas:

  • korrekt
  • fullständigt
  • snabbt
  • pålitligt

Tjänster som hanterar transaktioner, automation eller dataflöden behöver ofta inkludera detta kriterium.

Exempel på Processing Integrity-kontroller:

  • validering av indata
  • automatiska kontroller för felhantering
  • kvalitetsgranskningar av dataprocesser
  • övervakning av batchjob och integrationer

 

Confidentiality – skydd av känslig information

Confidentiality omfattar kontroller som säkerställer att konfidentiell information hanteras och skyddas på ett strukturerat sätt.

Det kan handla om:

  • tekniska skydd (kryptering, segmentering)
  • behörighetsstyrning
  • sekretessavtal
  • rutiner för datahantering och radering

Exempel på Confidentiality-kontroller:

  • kryptering i vila och under överföring
  • dataklassificering
  • loggning av åtkomst till känslig information
  • åtkomstprinciper (least privilege)

 

Privacy – strukturerad hantering av personuppgifter

Privacy-kriteriet fokuserar på kontroller kopplade till personuppgiftsbehandling. Det överlappar ofta med GDPR, men SOC 2 har egna krav på:

  • insamling, användning och lagring av data
  • samtycke och dataminimering
  • åtkomsträttigheter
  • radering och livscykelhantering
  • integritetsincidenter

Exempel på Privacy-kontroller:

  • rutiner för behandlingsregister
  • processer för rättigheter (access, rättelse, radering)
  • incidentrutiner med fokus på integritetsrisker
  • policyer för retention och datalagring

 

Hur väljer man vilka kriterier som ska ingå?

Alla organisationer måste inkludera Security.
Övriga kriterier väljs baserat på:

  • vilken typ av tjänst som levereras
  • vilka risker som finns
  • vad kunder efterfrågar
  • branschens förväntningar
  • regulatoriska krav

Exempel:
Ett SaaS-bolag med affärskritiska tjänster väljer ofta Security + Availability + Confidentiality.
En dataplattform eller integrationsmotor kan behöva inkludera Processing Integrity.
Organisationer som behandlar personuppgifter i större omfattning väljer ofta Privacy.

 

Hur arbetar man praktiskt med SOC 2-kontroller?

Organisationer som lyckas bra med SOC 2 gör oftast följande:

  1. Dokumenterar processer och ansvar

Tydlig styrning minskar risken för avvikelser.

  1. Kombinerar teknik med organisation

Tekniska kontroller måste backas upp av rutiner och efterlevnad.

  1. Använder sig av loggar och evidens kontinuerligt

Det underlättar revisionen — speciellt vid Type II.

  1. Bygger ett hållbart kontrollramverk

Kontroller ska fungera i vardagen, inte bara inför revision.

  1. Fokuserar på riskerna

Alla kontroller finns av en anledning — det är viktigt att förstå varför.

 

Trust Services Criteria är ryggraden i SOC 2-rapporteringen. Genom att arbeta strukturerat med Security, Availability, Processing Integrity, Confidentiality och Privacy skapar organisationer en robust och transparent kontrollmiljö som stärker kundförtroendet, förbättrar interna rutiner och minskar risk.

 

Behöver ni stöd i arbetet med SOC 2-kontroller?

Om ni vill ha hjälp med GAP-analys, implementering, kontrollmatris eller förberedelser inför revision kan Seadot vägleda er genom hela processen med praktiska råd och ett tydligt fokus på vad som skapar mest värde.

 

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.